路由器 NAT 技术讲解
操作方法
- 01
2).动态地址转换的实现 假设内部网络使用的IP地址段为172.16.100.1~172.16.100.254,路由器局域网端口(即默认网关)的IP地址为172.16.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.191,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为61.159.62.130~61.159.62.190。要求将内部网址172.16.100.1~172.16.100.254动态转换为合法IP地址61.159.62.130~61.159.62.190。 第一步,设置外部端口。 设置外部端口命令的语法如下: ip nat outside 示例: interface serial 0 //进入串行端口serial 0 ip address 61.159.62.129 255.255.255.192//将其IP地址指定为61.159.62.129,子网掩码为255.255.255.192 ip nat outside //将串行口serial 0设置为外网端口 注意,可以定义多个外部端口。 第二步,设置内部端口。 设置内部接口命令的语法如下: ip nat inside 示例: interface ethernet 0 //进入以太网端口Ethernet 0 ip address 172.16.100.1 255.255.255.0 // 将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0 ip nat inside //将Ethernet 0 设置为内网端口。 注意,可以定义多个内部端口。 第三步,定义合法IP地址池。 定义合法IP地址池命令的语法如下: ip nat pool 地址池名称起始IP地址 终止IP地址子网掩码 其中,地址池名字可以任意设定。 示例: ip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 255.255.255.192 //指明地址缓冲池的名称为chinanet,IP地址范围为61.159.62.130~61.159.62.190,子网掩码为255.255.255.192。需要注意的是,即使掩码为255.255.255.0,也会由起始IP地址和终止IP地址对IP地址池进行限制。 或ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26 注意,如果有多个合法IP地址范围,可以分别添加。例如,如果还有一段合法IP地址范围为"211.82.216.1~211.82.216.254",那么,可以再通过下述命令将其添加至缓冲池中。 ip nat pool cernet 211.82.216.1 211.82.216.254 netmask 255.255.255.0 或 ip nat pool test 211.82.216.1 211.82.216.254 prefix-length 24 第四步,定义内部网络中允许访问Internet的访问列表。 定义内部访问列表命令的语法如下: access-list 标号 permit 源地址通配符(其中,标号为1~99之间的整数) access-list 1 permit 172.16.100.0 0.0.0.255 //允许访问Internet的网段为172.16.100.0~172.16.100.255,反掩码为0.0.0.255。需要注意的是,在这里采用的是反掩码,而非子网掩码。反掩码与子网掩码的关系为:反掩码+子网掩码=255.255.255.255。例如,子网掩码为255.255.0.0,则反掩码为0.0.255.255;子网掩码为255.0.0.0,则反掩码为0.255.255.255;子网掩码为255.252.0.0,则反掩码为0.3.255.255;子网掩码为255.255.255.192,则反掩码为0.0.0.63。 另外,如果想将多个IP地址段转换为合法IP地址,可以添加多个访问列表。例如,当欲将172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255转换为合法IP地址时,应当添加下述命令: access-list2 permit 172.16.98.0 0.0.0.255 access-list3 permit 172.16.99.0 0.0.0.255 第五步,实现网络地址转换。 在全局设置模式下,将第四步由access-list指定的内部本地地址列表与第三步指定的合法IP地址池进行地址转换。命令语法如下: ip nat inside source list 访问列表标号 pool 内部合法地址池名字 示例: ip nat inside source list 1 pool chinanet 如果有多个内部访问列表,可以一一添加,以实现网络地址转换,如 ip nat inside source list 2 pool chinanet ip nat inside source list 3 pool chinanet 如果有多个地址池,也可以一一添加,以增加合法地址池范围,如 ip nat inside source list 1 pool cernet ip nat inside source list 2 pool cernet ip nat inside source list 3 pool cernet 至此,动态地址转换设置完毕。 3).端口复用动态地址转换(PAT) 内部网络使用的IP地址段为10.100.100.1~10.100.100.254,路由器局域网端口(即默认网关)的IP地址为10.100.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.160.0~202.99.160.3,路由器广域网中的IP地址为202.99.160.1,子网掩码为255.255.255.252,可用于转换的IP地址为202.99.160.2。要求将内部网址10.100.100.1~10.100.100.254 转换为合法IP地址202.99.160.2。 第一步,设置外部端口。 interface serial 0 ip address 202.99.160.1 255.255.255.252 ip nat outside 第二步,设置内部端口。 interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside 第三步,定义合法IP地址池。 ip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 // 指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。由于本例只有一个IP地址可用,所以,起始IP地址与终止IP地址均为202.99.160.2。如果有多个IP地址,则应当分别键入起止的IP地址。 第四步,定义内部访问列。 access-list 1 permit 10.100.100.0 0.0.0.255 允许访问Internetr的网段为10.100.100.0~10.100.100.255,子网掩码为255.255.255.0。需要注意的是,在这里子网掩码的顺序跟平常所写的顺序相反,即0.0.0.255。 第五步,设置复用动态地址转换。 在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。命令语法如下: ip nat inside source list访问列表号pool内部合法地址池名字overload 示例: ip nat inside source list1 pool onlyone overload //以端口复用方式,将访问列表1中的私有IP地址转换为onlyone IP地址池中定义的合法IP地址。 注意:overload是复用动态地址转换的关键词。 至此,端口复用动态地址转换完成。 还可以这样写: ip nat inside source list 1 interface serial 0 overload